En el Boletín Oficial de hoy se publicó la propuesta el Anteproyecto de Ley de Protección de Datos Personales elaborada por la Agencia de Acceso a la Información Pública.
Una primera y rápida leída me permite realizar las siguientes reflexiones:
Se asemeja al Proyecto anterior en que se basa en los estándares internacionales sobre la materia.
En su redacción intenta diferenciarse de aquél proyecto, innovar en algunas aspectos, y darle un enfoque más didáctico y explicativo, abundando en algunos casos innecesariamente en descripciones que, a pesar de declarar la neutralidad tecnológica, en algunos casos podrían utilizarse para limitar el alcance de algunos conceptos.
Con respecto a su contenido, encuentro las siguientes diferencias:
-Aclara que el tratamiento de datos relacionados con
la actividad profesional o comercial no puede considerarse un uso exclusivamente
privado.
-Al hacer referencia al ámbito de
aplicación material de la Ley, aclara que la misma se aplica incluso cuando los
datos personales tratados no formen parte de una base de datos y exige que se
concilie el respeto al derecho a la protección de derechos personales con el
derecho a la libertad de expresión.
-Si bien reconoce que en ningún caso se puede
afectar el secreto de las fuentes de información periodística, amplia, a mi
criterio peligrosamente la protección a todos los tratamientos de datos que
se realicen en el ejercicio de la libertad de expresión, que el proyecto
anterior limitaba a los medios de comunicación.
-Cambia el concepto de “licitud del tratamiento”, al
que entiende sólo como aquel tratamiento que se realiza conforme a lo establecido en la Ley, y contempla
los supuestos que en el proyecto anterior le daban “licitud” como integrantes
de las bases legales para el tratamiento de datos personales.
-Incluye dentro del concepto de datos sensibles a los
datos genéticos y biométricos.
-Aclara que la lista de datos sensibles es "enunciativa".
-Prohíbe a los operadores de planes
privados de salud tratar datos de salud para la práctica de selección de riesgo en la
contratación de cualquier modalidad y la
exclusión de beneficiarios.
-Incluye la figura del Representante en el territorio
nacional del responsable o encargado de tratamiento establecido en el extranjero,
salvo que se trate de tratamientos ocasionales o de organismos públicos extranjeros.
-No hace referencia a las fuentes de acceso público
restricto e irrestricto como bases legales de un tratamiento de datos
personales
-Modifica varias cuestiones relativas al consentimiento.
-No admite el consentimiento tácito
-No contempla excepciones al consentimiento para el
tratamiento de datos básicos, como el nombre apellido, documento nacional
de identidad, identificación tributaria o previsional, ocupación, fecha de
nacimiento, domicilio y correo electrónico.
-Amplia conceptos vinculados al tratamiento de datos de
niños, niñas y adolescentes.
-Reitera innecesariamente cuestiones
vinculadas al principio de responsabilidad proactiva.
-Reduce plazo de notificación de incidentes
de seguridad
-No contempla supuesto de consentimiento del
titular del dato como presupuesto para una transferencia internacional, sino que
lo acepta en casos excepcionales.
-Dentro de las situaciones específicas
contempladas como excepciones a la necesidad de realizar transferencias
internacionales a países que tengan legislación adecuada o el exportador
ofrezca garantía de que los datos se van a tratar en las condiciones
establecidas por la ley, no contempla las transacciones bancarias y
financieras.
-Regula con más detalle los servicios de tratamiento de datos personales.
-No regula los tratamientos de datos con fines de marketing y publicidad, sino que sólo contempla el derecho de oposición al
tratamiento de datos personales con fines publicitarios, de prospección
comercial o mercadotecnia directa, incluida la elaboración de perfiles, en la
medida que esté relacionada con esas finalidades, y el derecho de supresión en el
caso de los datos tratados para fines de publicidad, prospección comercial o mercadotecnia.
-No contempla la posibilidad de que un
tratamiento de datos pueda tomar decisiones basadas en tratamientos automatizados
cuando la decisión sea necesaria
para la celebración o la ejecución de un contrato entre el titular de los datos
y el responsable del tratamiento, esté autorizada por Ley o se base en su consentimiento
expreso.
-Incluye
el derecho a solicitar revisión por
una persona humana de las decisiones tomadas sobre la base del tratamiento
automatizado o semi automatizado que datos cuando se afecten sus intereses,
incluidas las decisiones encaminadas a definir sus aspectos personales,
profesionales, de consumo, crédito, de su personalidad u otros. En esos casos,
exige que el responsable del tratamiento proporcionar, siempre que se le
solicite, información clara, completa y adecuada sobre los criterios y
procedimientos utilizados para la decisión automatizada o semiautomatizada,
observando secretos comerciales e industriales, y si pueden verse afectados, la
AAIP podrá realizar auditorías para verificar, entre otros, aspectos
discriminatorios o de contenido erróneo o sesgado, en el tratamiento
automatizado o semiautomatizado de información personal.
-Establece que el derecho a la
portabilidad no procede cuando se trate de información inferida, derivada, creada,
generada u obtenida a partir del análisis o tratamiento efectuado por el responsable del tratamiento con base en los datos personales del Titular.
-Proclama la irrenunciabilidad de los
derechos por parte de los titulares de los datos personales, estableciendo que
será nula de pleno derecho toda estipulación en contrario.
-Indica que la limitación o restricción
al ejercicio de los derechos deben ser reconocidas de manera expresa mediante
una norma de rango legal o constitucional, salvaguardando la integridad de los
datos personales y restringiendo su uso estricto a los fines que persiga dicha
norma, con el propósito de brindar certeza suficiente a los Titulares de los
datos acerca de la naturaleza y alcances de la medida.
-Enumera innecesariamente las
obligaciones de los responsables y encargados de tratamiento y el deber de demostrar el cumplimiento ya contemplados en otras partes del articulado.
-Pone a cargo de los encargados de
tratamiento el deber de tramitar debidamente las solicitudes presentadas por el
Titular, respondiéndolas de manera completa y oportunamente, lo que considero un
error, ya que se trata de una obligación del responsable del tratamiento.
-Introduce el deber de desarrollar una Política
de tratamiento de datos personales que conste en un medio físico y electrónico,
en un lenguaje claro y sencillo, y sea puesta en conocimiento de los titulares
de los datos personales.
-Exige de realizar evaluaciones de
impacto en los tratamientos de datos sensibles a gran escala, datos
contravencionales o de niños, niñas y adolescentes, y en caso de observación
sistemática a gran escala de una zona de acceso público.
-No obliga a designar un DPO para tratamientos de datos sensibles realizados
como parte de la actividad principal del responsable o encargado del
tratamiento o para cuando se realicen tratamientos de datos a gran escala, sino
que lo deja abierto para los casos en que las actividades del
Responsable o Encargado del tratamiento de datos personales requieran un
control permanente y sistematizado por su volumen, naturaleza, alcance o
finalidades, conforme se establezca en esta Ley, su reglamentación, o en la normativa
que dicte al respecto la Autoridad de aplicación.
-Pone a
cargo del responsable del
tratamiento el deber de respaldar al DPO en el desempeño de sus funciones,
facilitándole los recursos necesarios para su desempeño y para el mantenimiento
de sus conocimientos especializados y la actualización de estos, y establece
que el DPO no puede ser destituido ni sancionado por desempeñar sus funciones.
-Pone a cargo del DPO el deber recibir
las comunicaciones y responder los reclamos de los Titulares de los datos
personales.
-Contrariamente a lo que ocurría en el
caso del proyecto anterior, que eliminaba el Registro Nacional de Bases de
Datos, este proyecto lo modifica, ya que crea el Registro Nacional para la
Protección de Datos en el que deben inscribirse, obligatoriamente, los Responsables
y Encargados del tratamiento que deban designar, obligatoriamente, un DPO o
tener que contar con un representante en el país.
-Sólo permite tratar datos de carácter
patrimonial relativos a la solvencia económica y al crédito cuando se cuente
con una de las bases legales previstas por la ley (básicamente, interés
legítimo). Considero que era mejor la redacción anterior.
-En tratamientos de datos relativos a la
solvencia económica y al crédito, cuando el deudor cancele o extinga la
obligación, se reduce a un (1) año el plazo durante el cual se puede informar la
existencia anterior de la duda, precisando la fecha de cancelación.
-Cuando se utilicen técnicas de scoring,
se debe informar cuál es la fórmula empleada, las variables, el procedimiento y
la información que se tomó en cuenta o el algoritmo que se utiliza y su
composición.
-No hace ninguna referencia al Registro
No Llame
-No exige que los organismos públicos dicten normas al crear, modificar
o suprimir bases de datos y las den a publicidad a través del Boletín Oficial.
-Eleva el valor de las multas, crea una
unidad móvil de $ 10.000.- para valuarlas y establece un rango de 5 unidades
móviles hasta 1.000.000.000) de unidades móviles o, del 2% al 4% de la facturación
total anual global del ejercicio financiero anterior del infractor.
-Establece un plazo de adecuación de 1 (un) año contador a partir de
su publicación.